NTTコミュニケーションズ(NTTコム)のインターネット接続サービス「OCN」において、2013年6月に発生した接続パスワードの不正変更事件。メール送受信や契約者情報の確認・変更には別のID/パスワードが必要なため、決済情報を含む個人情報の漏洩はなかったが、インターネットサービスプロバイダー(ISP)業界で大きな話題となっている。

 NTTコムの6月26日の発表によると、不正変更されたパスワードの数は756件。6月24日の午後5時に異変に気付いた。ログを詳細に分析した結果、特定のIPアドレスから多数のIDに対してパスワードの変更を試みた形跡があったという。悪用されたIDによる接続を一時的に遮断して対処した。

 その後も調査を続けると、原因はどうやらロジテック製の無線LANブロードバンドルーター(「LAN-W300N/R」「LAN-W300N/RS」「LAN-W300N/RU2」)の脆弱性にあることが判明する(写真1)。そこでNTTコムは、8月20日に発表したように、当該ルーターの利用顧客をインターネット経由で調べ、対象者に個別に連絡して対策を促すことにした。

写真1●脆弱性が見つかったロジテック製の無線LANブロードバンドルーター(ロジテックの発表資料から一部を抜粋)
写真1●脆弱性が見つかったロジテック製の無線LANブロードバンドルーター(ロジテックの発表資料から一部を抜粋)

 この事件が注目を集める理由は、主に二つある。一つは、原因が無線LANブロードバンドルーターの脆弱性にあるため、NTTコムだけの問題で終わらない点。他のISPにも少なからず影響を及ぼす恐れがあり、既に一部で被害も出ている。もう一つは、NTTコムが当該ルーターの利用顧客を調べるところまで対策に踏み込んだ点である。同行為は本来、「通信の秘密」に抵触するが、総務省が異例の措置で認めた。

 今回の事件には様々な問題が凝縮されており、以下では背景を少し詳しく解説しておきたい。

犯人は何が目的なのか?

 関係者によると、犯人が何の目的で接続パスワードを変更したのか、全く見当が付かなかったという。接続IDとパスワードを大量に入手したところで何のメリットがあるのか。しかも接続パスワードを変えられるのは、OCNに接続しているユーザーだけ。接続パスワードを大量に変更すれば、足もつきやすくなる。愉快犯のようにみえた。

 だが、調査を進めるうちに違う実態が浮かび上がってくる。まず被害を受けた接続パスワードは、総当たり攻撃で入手されたと想定していたが、何十回、何百回と試した形跡はなく、「かなり高い的中率で変更されていた」(OCN関係者)。接続パスワードを変更するには、そもそもOCNのIDが必要で、そのために使われたIDは16件。それも、本来の契約者と全く関係ない場所からアクセスされていた。つまり、犯人はOCNに接続できるが、契約者ではなく、何らかの手段でIDとパスワードを不正に入手したとみられる。

 一方で、同社には「OCNから大量の不正アクセスが来ているので、そちらで止めてほしい」といったクレームが入っていた。一般に不正アクセスといっても、成功しないスキャンに近い攻撃はどこでも大量に受けている。攻撃を検知した側でフィルタリング(ドロップ)するケースが多いが、OCNから様々なIPアドレスを使って攻撃してくるので対処しきれないというのだ。こちらも原因を調べると、本来の契約者と全く関係ない場所からのアクセスだった。春頃から同じような事象は起こっていたが、7月に入って急増した。